Crypto key de stockage et de récupération – les meilleures pratiques?

Nous avons un tas de SSH, GPG, SSL et d'autres keys privées qui, évidemment:

  • doit seulement être disponible pour le plus petit nombre possible de personnes
  • ne peut pas être "perdu" si un disque dur décède ou que le bâtiment est éteint (car beaucoup de données seraient indescifrables)
  • doit être récupérable même si le gars en charge est malade ou est touché par le bus ou résiste à une augmentation de un million de dollars

Quelles sont les meilleures pratiques ici? Est-ce que vous les stockez sur un tas de keys USB flash dans un coffre-fort? Est-ce que vous faites des copys? Combien de copys, et comment s'assurer qu'elles restnt en synchronisation (les keys expirent, sont remplacées, les nouvelles keys sont ajoutées etc.) Les cryptes-tu? (avec quoi, et comment démarrez-vous?)

Je n'ai pas réussi à présenter des informations pratiques utiles, donc je suis intéressé par toutes les expériences, bonnes, mauvaises, etc., dont nous pourrions apprendre.

De plus, existe-t-il un logiciel open-source qui consortingbue à cela?

Ici, pour le travail quotidien, nous avons l'authentification Kerberos, il est très utile, par exemple, si vous souhaitez vous connecter en tant que root avec un file .k5login dans / root.

Bien sûr, si le keytab ou un autre problème se produit, nous avons un file crypté GPG sur un référentiel SVN. Mais si vos passwords racine sont modifiés automatiquement de manière régulière, un file GPG pourrait ne pas suffire.

J'ai rencontré SFLVault l'autre jour; Je ne l'ai pas encore testé, mais il semble être un outil assez puissant. Il devrait être utile de lui donner un essai

J'espère que cela aide 🙂